centos邮件服务器用户管理指南

CentOS 邮件服务器用户管理指南

一 用户模型与准备

• 常见模型
  • 系统用户模型：每个邮箱对应一个系统账号，邮箱位于用户家目录的 Maildir/，配合 Dovecot 提供 IMAP/POP3 访问，Postfix 负责 SMTP。适合中小规模与简单运维。
  • 虚拟用户模型：邮箱与系统账号解耦，用户与域名的映射、认证与配额由数据库或目录服务管理，适合多域、大规模与集中运维。
• 基础准备
  • 安装组件：建议 Postfix + Dovecot + SASL（用于 SMTP 认证）。示例：sudo yum install -y postfix dovecot cyrus-sasl。
  • 域名解析：添加 A 记录（如：mail.yourdomain.com → 服务器公网 IP）与 MX 记录（@ → mail.yourdomain.com，优先级如 10）。
  • 基础安全：启用 TLS/SSL（SMTP 与 IMAP/POP3），仅开放必要端口（见下文防火墙），并准备好证书（自签或可信 CA）。

二 系统用户模型的用户管理

• 新增邮箱用户
  • 创建系统账号并设密码：sudo useradd -m alice；sudo passwd alice。
  • 确保邮件目录为 Maildir/（Postfix 常用）：在 /etc/postfix/main.cf 设置 home_mailbox = Maildir/，然后为新用户创建目录并修正属主属组：
    • mkdir -p /home/alice/Maildir/{cur,new,tmp}
    • chown -R alice:alice /home/alice/Maildir
• 修改与禁用
  • 修改密码：passwd alice。
  • 临时禁用登录：usermod -s /sbin/nologin alice（保留邮箱，禁止 Shell 登录）。
• 删除用户
  • 保留主目录：userdel alice。
  • 连同主目录与邮件一起删除：userdel -r alice（谨慎，务必先备份）。
• 批量创建示例
  • for i in {01…50}; do useradd user$i && echo “P@ssw0rd$i” | passwd --stdin user$i; done
• 客户端连接要点
  • SMTP：主机 mail.yourdomain.com，端口 25/587（STARTTLS），认证方式 PLAIN/LOGIN。
  • IMAP：端口 143（STARTTLS）或 993（IMAPS）；POP3：端口 110（STARTTLS）或 995（POP3S）。

三 虚拟用户模型的用户管理

• 适用场景与优势
  • 多域名、海量用户、与现有用户目录（如 LDAP）或数据库集成，配额与策略集中管理。
• 核心思路
  • Postfix 负责投递与收件路由；Dovecot 负责认证与邮箱访问；虚拟域与用户映射通过数据库或文件维护，并生成哈希索引供查询。
• 最小落地步骤
  • 选择后端（如 MySQL 或文件），设计表/映射：domains、users（email、password_hash、quota 等）。
  • Postfix 配置
    • main.cf：配置 virtual_mailbox_domains、virtual_mailbox_maps、virtual_alias_maps、smtpd_sasl_type/destinations 等。
    • 生成/更新索引：postmap /etc/postfix/virtual 或 postmap mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf。
  • Dovecot 配置
    • 启用协议：protocols = imap pop3（建议仅启用加密端口 993/995）。
    • 认证：mechanisms = plain login；与 Postfix 共享 SASL（如 dovecot-sasl）。
    • 邮箱定位：mail_location = maildir:/var/vmail/%d/%n（示例路径，按实际后端调整）。
  • 权限与目录
    • 创建 vmail 用户与组（如 vmail:vmail），对 /var/vmail 设置属主属组与权限（如 2770/660），确保 Dovecot/Postfix 可读写。
  • 管理操作
    • 新增：向数据库/映射文件插入用户记录 → 执行 postmap 更新索引。
    • 修改：更新密码/配额 → 重新生成索引（如需要）。
    • 禁用/删除：标记禁用或删除记录 → 更新索引并清理邮箱存储（谨慎操作）。

四 别名 群发 与访问控制

• 邮件别名与群发
  • 编辑 /etc/aliases：例如 all: :include:/etc/postfix/userlist，将需要收广播的账号写入 /etc/postfix/userlist，然后执行 postalias /etc/aliases 更新数据库，使 all@yourdomain.com 向列表内所有用户投递。
• 访问控制与策略
  • 发信策略：在 Postfix 中配置 mynetworks（可信网段）、smtpd_recipient_restrictions（如 permit_sasl_authenticated、reject_unauth_destination 等）以限制外发与垃圾投递。
  • 防火墙放行
    • 放行服务：firewall-cmd --permanent --add-service=smtp；–add-service=pop3；–add-service=imap；firewall-cmd --reload。
    • 或放行端口：25（SMTP）、587（Submission）、110（POP3）、143（IMAP）、993（IMAPS）、995（POP3S）。

五 配额 日志 与常见问题

• 配额管理
  • Dovecot 配额：在 Dovecot 配置中启用配额（如 quota 插件与规则），可为用户设置存储上限；虚拟用户通常在用户记录中维护配额字段并在 Dovecot 查询。
• 日志与排错
  • 核心日志：/var/log/maillog。常用排查：tail -fn 100 /var/log/maillog；使用 mailx 或客户端测试投递/收取；必要时用 telnet/nc 手工测试 SMTP/POP3/IMAP 会话。
• 常见问题速解
  • 认证失败：确认 Dovecot SASL 机制为 plain/login，Postfix 与 Dovecot 的 SASL 配置一致，证书与端口正确。
  • 权限错误：检查邮箱目录属主属组（如 vmail:vmail 或 用户:用户）、权限位（700/660），以及 SELinux 布尔值（如 setsebool -P allow_postfix_local_write_mail_spool 1；视环境调整）。
  • 外发被拒：核对 mynetworks、smtpd_recipient_restrictions、DNS 的 SPF/DKIM/DMARC 记录与反向解析（PTR），避免被对端判为垃圾邮件。